CN103795565A - 一种网络事件关联分析方法和装置 - Google Patents

一种网络事件关联分析方法和装置 Download PDF

Info

Publication number
CN103795565A
CN103795565A CN201310742852.3A CN201310742852A CN103795565A CN 103795565 A CN103795565 A CN 103795565A CN 201310742852 A CN201310742852 A CN 201310742852A CN 103795565 A CN103795565 A CN 103795565A
Authority
CN
China
Prior art keywords
rule
network event
scene
new network
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310742852.3A
Other languages
English (en)
Inventor
刘勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201310742852.3A priority Critical patent/CN103795565A/zh
Publication of CN103795565A publication Critical patent/CN103795565A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种网络事件关联分析方法和装置。其中所述方法包括:从场景库中选择一个或多个场景;分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则;当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。本发明通过场景库和规则的结合来进行网络事件关联分析,解决了现有网络事件关联分析中描述能力差的问题,并实现了良好的技术效果。

Description

一种网络事件关联分析方法和装置
技术领域
本发明涉及网络事件关联分析领域,具体地,涉及一种网络事件关联分析方法和装置。
背景技术
在网络传输中,产生诸如HTTP、FTP等网络事件,这些单个独立的网络事件,其本身看来是正常的网络行为,不带有任何危害,但对于多个相关事件联合分析后,则可能挖掘出潜藏在网络事件之前的关系,这即为网络事件的关联分析。
常用的关联分析方法是基于状态机实现的。状态机是它是一个有向图形,由一组节点和一组相应的转移函数组成。状态机通过响应一系列事件而“运行”。每个事件都在属于“当前”节点的转移函数的控制范围内,其中函数的范围是节点的一个子集。函数返回“下一个”(也许是同一个)节点。这些节点中至少有一个必须是终态。当到达终态,状态机停止。
将状态机应用于网络事件关联分析,已经是一种较为普遍的认识,也是一种较为常用的方法。一般通过专业人员编写状态机应用场景,应用程序通过分析状态机应用场景,实现关联分析功能。
但现有的通过状态机实现的方法存在以下的缺陷:现有状态机应用场景经常需要专业人员编写,对于非专业人员无法理解,更无法修改;现有状态机应用场景经常使用非可视化语言编写,诸如脚本等,描述能力差,无相关基础的人员无法读写和修改。
发明内容
针对现有技术中存在的上述缺陷,本发明提出了一种网络事件关联分析方法和装置。
本发明提出了一种网络事件关联分析方法,该方法包括:从场景库中选择一个或多个场景;分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则;当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。
本发明还提出了一种网络事件关联分析装置,该装置包括:场景选择模块,用于从场景库中选择一个或多个场景;规则过滤模块,用于分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则;分析模块,用于当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。
本发明通过场景库和规则的结合来进行网络事件关联分析,解决了现有网络事件关联分析中描述能力差的问题,并实现了良好的技术效果。
附图说明
图1示出了根据本发明的一种网络事件关联分析方法;
图2示出了所选择的一个或多个场景形成的场景链。
具体实施方式
图1示出了根据本发明的一种网络事件关联分析方法。
在步骤110中,从场景库中选择一个或多个场景。
可以根据环境、系统或网络配置的需要或对风险的分析,预先创建场景库,其中包括至少一个场景。所述场景可包括例如异常登录检测场景、关键服务访问检测场景、异常网络操作行为检测场景、潜在危害分析场景等。可以认为所选择的一个或多个场景形成场景链,如图2所示。
下面出了一种示例性场景格式:
Figure BDA0000448816320000031
其中,1、Rec为场景关键字;2、“#”,“//”和“/*/”为注释符号;3、其中的规则、动作参见下文。
在步骤120中,分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则。
针对每个特定的场景,都可以设定若干个规则,以用于对网络事件进行判断。优选地,可以对每个场景文件中的规则进行词法和语法分析,丢弃掉不符合词法和语法的规则,加载正确的规则,构成规则链。而每一个规则经词法和语法解析后是一个规则树(对应于有效规则)(参见图2),该规则树包含规则的各种属性.
下面给出根据本发明的一种实施方式的规则定义并对其中的具体项目进行解释和说明:
每个规则由规则类型、触发条件、事件描述、动作、全局状态变量等属性组成,表1列出了规则的所有属性和描述。
Figure BDA0000448816320000041
表1规则属性
下面对表1中的各项进行解释说明:
(一)规则类型(Type)
规则类型包括触发型、阀值型、阀值抑制型和抑制型。
表2描述了每个规则的功能,及规则对应的属性。
Figure BDA0000448816320000061
表2规则类型
(二)过滤器类型(Ptype)
支持的过滤器类型如表3所示。
Figure BDA0000448816320000062
表3过滤器类型
Pattern过滤器,是根据网络事件的属性进行过滤,类SQL语法,支持四则运算、比较运算和与或非运算;
RegExp过滤器,通过正则表达式实现;
Substr过滤器,从原始字符串中查到出包含Substr子字符串。
(三)过滤器(Filter)
根据过滤器类型Ptype的定义,Filter表示不同的意义,分别是类SQL语法过滤器、正则表达式和字符串。
(四)事件描述(Desc)
描述是一个规则实例化后的唯一标识,描述可以一个字符串常量,也可以是一个包含网络事件字段的模板,对于模板式的描述,在进行实例化规则查找时,需要先从审计事件中提取相应字段值对其进行填充。
模板中的事件字段,通过“${}”表示,如${s_srcip}表示从网络事件中提取出源IP字段。
(五)时间窗(Window)
时间窗是一个大于0的整数,不设置,表示无限制。主要用于Threshold和BurstWithSuppress两种规则。
(六)阀值(Thresh)
阀值用于计数,与时间窗配合使用,当计数达到阀值时,可能进行状态变迁或者动作执行。主要用于主要用于Threshold规则。
(七)抑制属性(Enablesuppress)
是否抑制相同事件,主要用于Threshold。当在window时间内达到thresh了,再剩下的时间内,如果有相同事件再次到来,是重新计时,还是忽略。如果enablesuppress=true表示抑制,忽略该事件,否则重新计时。当window<=0时,该项无效。默认为false。
(八)全局状态变量(Context)
全局状态变量是一个状态标识,用于规则之前的状态变迁,对于整个场景的所有规则都可见,即在一个规则中操作一个全局状态变量,整个场景中的其他规则都可见。
全局状态变量可以是一个字符串常量,也可以是一个包含网络事件字段的模板,对于模板式的全局状态变量,在进行全局状态变量操作时,需要从网络事件中提取相应字段值对其进行填充。每一个类型的规则都可以定义全局状态变量,其定义的全局状态变量对其他规则也可见。动态创建的全局状态变量需要有生命周期,在超过生命周期后,将自动销毁。
与全局状态变量相关的运算包括四则运算、比较运算和与或非运算,全局状态变量运行结果有True和False两种,分别表示全局状态变量条件成立与不成立。
与全局状态变量相关的函数有SUM和COUNT,如表4所示。
函数名 作用
SUM 全局状态变量存储事件发生的
次数总和
COUNT 全局状态变量存储事件个数
表4全局状态变量函数
一个典型的context操作如:
count(${s_dstip})>=3||sum(TEST)>5表示,当context${s_dstip}中的记录数大于等于3,或者context TEST中的所有记录出现的次数大于5,有一个满足时,该表达式返回true。
(九)动作(Action)
动作是在一个状态被触发后,需要执行的一种操作,定义一个动作需要有动作名字、动作属性支持。表4列出了可支持的动作。
Figure BDA0000448816320000081
Figure BDA0000448816320000091
表4动作及属性
(十)Continue
Continue表示执行完当前规则后,是否需要继续执行下一个规则,取值包括:
dontcont:执行完当前规则后,不需要继续执行下一个规则,此为默认操作;
takenext:执行完当前规则后,需要继续执行下一个规则
在步骤130中,当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。其中,根据规则中各种参数和属性的设置来判断网络事件是否满足一定的规则或条件,或者是否触发某些阈值等。
优选地,步骤130中对新的网络事件进行分析包括对所述新的网络事件在内的网络事件组进行整体分析。利用上述对规则的具体说明可以看出,某些规则所要求的输入对象是多个事件,其中新发生的事件起到了对分析进行触发的作用。因此对于这些规则,需要对包括新发生的事件在内的网络事件组进行整体分析。
此外,根据以上关于规则的介绍,其中包括动作部分,当对网络事件的分析满足一定的条件时,需要执行其中的一个或多个动作,比如判断是否需要进行状态变迁和动作执行,调用相应的执行模块等。
下面对两个示例性场景进行描述:
场景一:
可见,场景一中只定义了一个规则,规则类型为阀值型,时间窗为60秒,阀值为5次,过滤器类型为pattern,匹配规则为协议名为FTP并且ftp命令中包含“Login Failed”的网络事件。假如某个ftp服务器IP192.168.0.2,某客户端IP192.168.0.3,该客户端在60秒内登录该服务器失败次数达到5次,则执行规则定义的动作,产生告警事件“192.168.0.3access192.168.0.2failed5times in60s”。
场景二:
Figure BDA0000448816320000121
场景二中定义了两个规则,第一个规则类型为阀值型,时间窗为1秒,阀值为100次,匹配规则为协议名为HTTP的网络事件,描述是“${s_dstip}”,一个包含目的IP地址的模板,规则意义是在1秒内,产生了100个对某个目的IP的HTTP事件,这种情况可能会是一种攻击,规则的动作是创建一个全局状态变量,名字是“${s_dstip}”,一个包含目的IP地址的模板,生命周期是10秒钟。
第二个规则类型是触发型的,触发规则是协议名为HTTP的网络事件,此外还有全局状态变量的约束,即必须在全局状态变量“${s_dstip}”为真的情况下,并且网络事件的协议类型为HTTP才执行第二个规则的动作。只有在第一个规则执行动作后,创建了某个目的IP地址的全局状态变量后,基于该目的地址的HTTP网络事件,才满足所有条件,执行动作。
两个规则的意义是,如果1秒钟内产生了针对某个目的IP的100个HTTP事件,则在接下来的10秒内,记录针对该目的IP的HTTP事件的源IP。这有可能是针对该目的IP的80端口的攻击或者扫描,通过该发明所述的网络事件关联分析方法和装置可有效分析出这些潜在危害。
最后,与上述网络事件关联分析方法相应,本发明还提出了一种网络事件关联分析装置,以上对本发明的网络事件关联分析方法的解释说明中的相应部分也适用于该网络事件关联分析装置。具体来讲,该装置包括:场景选择模块,用于从场景库中选择一个或多个场景;规则过滤模块,用于分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则;分析模块,用于当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。
优选地,所述分析模块被配置为对包括所述新的网络事件在内的网络事件组进行整体分析。
优选地,所述装置还被配置为根据分析结果来确定是否执行一个或多个动作。

Claims (6)

1.一种网络事件关联分析方法,该方法包括:
从场景库中选择一个或多个场景;
分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则;
当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。
2.根据权利要求1所述的方法,其中所述对新的网络事件进行分析包括对所述新的网络事件在内的网络事件组进行整体分析。
3.根据权利要求1或2所述的方法,该方法还包括:
根据分析结果来确定是否执行一个或多个动作。
4.一种网络事件关联分析装置,该装置包括:
场景选择模块,用于从场景库中选择一个或多个场景;
规则过滤模块,用于分析所选场景中的规则,丢弃掉不合法的规则,保留有效规则;
分析模块,用于当新的网络事件发生时,针对所选择的场景中的每一个场景,利用为该场景所选择的有效规则对所述新的网络事件进行分析。
5.根据权利要求4所述的装置,其中上述分析模块被配置为对包括对包括所述新的网络事件在内的网络事件组进行整体分析。
6.根据权利要求4或5所述的装置,所述装置还被配置为根据分析结果来确定是否执行一个或多个动作。
CN201310742852.3A 2013-12-27 2013-12-27 一种网络事件关联分析方法和装置 Pending CN103795565A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310742852.3A CN103795565A (zh) 2013-12-27 2013-12-27 一种网络事件关联分析方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310742852.3A CN103795565A (zh) 2013-12-27 2013-12-27 一种网络事件关联分析方法和装置

Publications (1)

Publication Number Publication Date
CN103795565A true CN103795565A (zh) 2014-05-14

Family

ID=50670890

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310742852.3A Pending CN103795565A (zh) 2013-12-27 2013-12-27 一种网络事件关联分析方法和装置

Country Status (1)

Country Link
CN (1) CN103795565A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106557657A (zh) * 2016-11-21 2017-04-05 北京市农林科学院 一种基于gemma的gwas分析方法及装置
CN111090885A (zh) * 2019-12-20 2020-05-01 北京天融信网络安全技术有限公司 一种用户行为审计方法、装置、电子设备及存储介质
CN111259088A (zh) * 2020-01-13 2020-06-09 中孚安全技术有限公司 一种基于画像技术的用户网络行为审计建模方法
CN115061718A (zh) * 2022-03-24 2022-09-16 上海任意门科技有限公司 配置和运行状态机的方法、计算设备和计算机存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106557657A (zh) * 2016-11-21 2017-04-05 北京市农林科学院 一种基于gemma的gwas分析方法及装置
CN111090885A (zh) * 2019-12-20 2020-05-01 北京天融信网络安全技术有限公司 一种用户行为审计方法、装置、电子设备及存储介质
CN111259088A (zh) * 2020-01-13 2020-06-09 中孚安全技术有限公司 一种基于画像技术的用户网络行为审计建模方法
CN111259088B (zh) * 2020-01-13 2024-04-26 中孚安全技术有限公司 一种基于画像技术的用户网络行为审计建模方法
CN115061718A (zh) * 2022-03-24 2022-09-16 上海任意门科技有限公司 配置和运行状态机的方法、计算设备和计算机存储介质
CN115061718B (zh) * 2022-03-24 2023-12-22 上海任意门科技有限公司 配置和运行状态机的方法、计算设备和计算机存储介质

Similar Documents

Publication Publication Date Title
US11936663B2 (en) System for monitoring and managing datacenters
US11700190B2 (en) Technologies for annotating process and user information for network flows
US11196756B2 (en) Identifying notable events based on execution of correlation searches
US10740170B2 (en) Structure-level anomaly detection for unstructured logs
US9275224B2 (en) Apparatus and method for improving detection performance of intrusion detection system
EP3855692A1 (en) Network security monitoring method, network security monitoring device, and system
Wu et al. Diagnosing missing events in distributed systems with negative provenance
US8577829B2 (en) Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model
US20180307576A1 (en) Field content based pattern generation for heterogeneous logs
US20220405279A1 (en) Query engine for remote endpoint information retrieval
US10516671B2 (en) Black list generating device, black list generating system, method of generating black list, and program of generating black list
Alserhani et al. MARS: multi-stage attack recognition system
US8751787B2 (en) Method and device for integrating multiple threat security services
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
CN103795565A (zh) 一种网络事件关联分析方法和装置
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
Bolanowski et al. The use of statistical signatures to detect anomalies in computer network
Zhuang et al. Applying data fusion in collaborative alerts correlation
CN112688956B (zh) 一种基于关联规则的实时安全检测方法及系统
KR102640648B1 (ko) 특화된 데이터베이스 구축을 통한 기업 자산관리 시스템
US20240179153A1 (en) System for monitoring and managing datacenters
CN115102848B (zh) 日志数据的提取方法、系统、设备及介质
Komisarek et al. Hunting cyberattacks: experience from the real backbone network.
Qin et al. LMHADC: Lightweight method for host based anomaly detection in cloud using mobile agents
Bockermann et al. On the automated creation of understandable positive security models for web applications

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CB02 Change of applicant information

Address after: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

COR Change of bibliographic data
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20160301

Address after: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Applicant after: Information & Telecommunication Company of State Grid Qinghai Electric Power Company

Address before: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20140514